Los grupos de ataque iraníes son una amenaza a nivel global

Los últimos acontecimientos han provocado un aumento de la preocupación por posibles ataques procedentes de Irán. El equipo de investigación de amenazas de Proofpoint ha analizado a los principales grupos de actores de amenazas iraníes, las industrias y los países y regiones a los que se sabe que se dirigen, así como sus principales tácticas.

Recomendados:  Informe IT Trends: 2020, el año de la consolidación digital Leer Ciberseguridad en 2020, ¿qué podemos esperar? Registro.  Tendencias TI 2020, visionando el futuro. Webinar ondemand.

Los datos históricos muestran que no podemos tomarnos esta amenaza a la ligera. Los atacantes iraníes pueden no ser tan conocidos como los de otros países, pero han llevado a cabo con éxito muchas operaciones a lo largo de los años, a veces con efectos significativos e incluso devastadores. Estos operan principalmente por debajo del radar informativo para evitar causar incidentes que generen grandes titulares. Eligen sus objetivos con cuidado y se infiltran frecuentemente de forma lenta y sigilosa, para llevar a cabo acciones de reconocimiento, espionaje o ataques posteriores. A menudo, estos grupos recogen credenciales y las mantienen a lo largo del tiempo para conseguir hacer el mayor daño posible. Esto significa que los ataques iraníes podrían tener ya información y presencia en determinados objetivos.

Estos grupos iraníes operan a una escala verdaderamente global, y aunque los objetivos gubernamentales y militares son obvios, persiguen a compañías de múltiples sectores, incluyendo telecomunicaciones, organizaciones financieras y grupos de derechos humanos o incluso educativos. Organizaciones mundiales, de diversos sectores, deberían tomarse en serio esta amenaza potencial.

Proofpoint ha analizado la actividad de 11 grupos de actores de amenazas iraníes, entre ellos APT 33/Elfin, que podría ser responsable de los ataques de Shamoon. La compañía rastrea a este grupo como TA451 y ha estado activo recientemente, en diciembre de 2019. Otros grupos que han estado activos recientemente son APT 39/Chafer, Charming Kitten, MuddyWater, OilRig, y SilentLibrarian/Cobalt Dickens, la mayoría de los cuales tienen como objetivos a organizaciones gubernamentales, energéticas y medios de comunicación. Respecto a los países donde ponen sus miras, Arabia Saudí, Estados Unidos e Israel son los principales, pero también se han registrado ataques en otros países y regiones, incluida la UE.

Las tácticas favoritas de los atacantes iraníes son el robo de credenciales, la infiltración en el correo electrónico, el phishing y el malware. Para paliarlas, Proofpoint aconseja adoptar un cuidadoso enfoque de seguridad interno y externo para mejorar la posición general de seguridad de una organización. Una acción inmediata y efectiva para ayudar a proteger a la organización es mitigar los efectos de las credenciales robadas, particularmente aquellas con privilegios administrativos. Algunas organizaciones deberían considerar forzar el restablecimiento de contraseñas, incluidas las cuentas de servicio.

Es importante asegurarse de reducir la superficie de ataque, llevar a cabo las actualizaciones de seguridad y asegurarse de que los empleados estén capacitados para identificar posibles amenazas. Cuanto más pequeña sea la superficie de ataque, más difícil es que los atacantes puedan hacer algo. Asegúrese de que los sistemas estén parcheados, porque cualquiera puede tener acceso a herramientas de código abierto, y trabaje activamente para implementar un plan de respuesta que involucre no solo a su organización sino también a sus empleados, proveedores y partners.